Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 (PM Kominfo 5/2020) mewajibkan setiap penyelenggara sistem elektronik lingkup privat untuk mendaftarkan diri ke pemerintah Indonesia.
Artikel ini membahas apa yang harus dipenuhi perusahaan dari regulasi PM Kominfo 5/2020 ini dan bagaimana cara memenuhinya.
Memahami Regulasi PM Kominfo 5/2020
PM Kominfo 5/2020 diterbitkan pada 16 November 2020 sebagai turunan dari Peraturan Pemerintah Nomor 71 Tahun 2019 (PP 71/2019) tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Regulasi ini mengatur siapa saja yang masuk kategori Penyelenggara Sistem Elektronik Lingkup Privat atau PSE Privat.
Kategori PSE Privat tidak terbatas pada platform media sosial atau marketplace besar saja. Namun setiap badan usaha yang mengoperasikan sistem elektronik untuk melayani pengguna di Indonesia (aplikasi internal perusahaan yang diakses karyawan, platform SaaS B2B, hingga layanan cloud yang menyimpan data pengguna lokal) juga masuk dalam kategori ini.
Menariknya, regulasi ini berlaku secara ekstrateritorial. Perusahaan yang didirikan di luar Indonesia pun wajib mendaftar, selama sistem elektroniknya digunakan oleh pengguna di wilayah Indonesia. Artinya, status perusahaan asing bukan alasan untuk tidak patuh.
4 Kewajiban Utama Penyelenggara Sistem Elektronik Privat
Sesuai ketentuan PM Kominfo 5/2020, seluruh PSE Lingkup Privat wajib memenuhi empat kewajiban utama sebagai berikut.
1. Mendaftarkan PSE via OSS-RBA
PSE privat wajib mendaftarkan sistem elektroniknya melalui OSS-RBA atau Online Single Submission Risk Based Approach. OSS-RBA adalah sebuah sistem perizinan berusaha terintegrasi yang dikelola pemerintah melalui oss.go.id. Pendaftaran ini harus dilakukan sebelum layanan mulai beroperasi, bukan setelahnya.
Untuk bisa mendaftar, perusahaan perlu menyiapkan beberapa hal seperti:
- NIB/Nomor Induk Berusaha yang aktif
- Gambaran umum sistem elektronik yang dioperasikan, termasuk lokasi pengelolaan dan penyimpanan datanya
- Pernyataan bahwa perusahaan siap memberikan akses sistem dan data kepada aparat jika sewaktu-waktu dibutuhkan untuk keperluan penegakan hukum.
2. Memastikan Sistem Bebas Konten Terlarang
PM Kominfo 5/2020 mewajibkan PSE untuk memastikan bahwa sistem elektroniknya tidak memuat atau memfasilitasi penyebaran konten yang dilarang oleh peraturan perundang-undangan.
Kewajiban ini juga berlaku pada platform yang memiliki fitur user generated content (UCG). Perusahaan tetap harus bertanggung jawab atas konten yang beredar di sistem, meskipun bukan mereka pembuatnya. Oleh karena itu perusahaan perlu melakukan moderasi konten pada platform UCG untuk memastikan seluruh konten yang beredar sesuai dengan hukum.
3. Melakukan Take Down Konten atas Permintaan
PSE wajib menindaklanjuti permintaan pemutusan akses terhadap konten yang dianggap melanggar ketentuan. Permintaan ini bisa datang dari berbagai pihak, mulai dari masyarakat umum, kementerian, aparat penegak hukum, hingga lembaga peradilan.
Karena permintaan ini bisa datang kapan saja, perusahaan perlu memiliki prosedur teknis tentang penurunan konten yang sudah disiapkan sejak awal.
4. Memberikan Akses Sistem dan Data Elektronik
PSE wajib memberikan akses terhadap sistem dan data elektroniknya kepada aparat penegak hukum dalam rangka pengawasan dan penegakan hukum. Maka audit trail, logging aktivitas pengguna, dan kontrol akses data harus sudah berjalan sebagai bagian dari operasional sehari-hari.
Sanksi Bagi Perusahaan yang Tidak Mendaftarkan Diri
Perusahaan yang tidak memenuhi kewajiban sebagai PSE Lingkup Privat akan dikenakan sanksi administratif. Bentuk sanksinya bergantung pada jenis pelanggaran yang dilakukan.
1. Tidak Mendaftar sebagai PSE
Pemerintah bisa memblokir sistem serta akses bagi perusahaan yang tidak mendaftarkan platform secara resmi tanpa peringatan. Layanan ini tidak akan bisa diakses pengguna di Indonesia sampai perusahaan menyelesaikan kewajibannya.
2. Sudah terdaftar sebagai PSE tapi melanggar kewajiban lainnya
Pelanggaran yang dimaksud mencakup tidak memastikan sistem bebas konten terlarang, tidak menindaklanjuti permintaan take down, atau tidak memberikan akses data kepada aparat saat dibutuhkan.
Jika salah satu dari ini terjadi, sanksi akan turun bertahap dengan urutan sebagai berikut.
- Teguran tertulis dikirimkan melalui surat elektronik
- Jika tidak ditindaklanjuti, layanan dihentikan sementara
- Jika dalam tujuh hari setelah penghentian sementara perusahaan tidak memberikan konfirmasi, akses layanan diblokir sepenuhnya dan tanda daftar PSE dicabut
Bagi perusahaan yang bergantung pada platform digital sebagai sumber pendapatan utama, pemblokiran layanan berdampak pada terhentinya layanan operasional.
Apa yang Harus Dilakukan setelah Terdaftar Sebagai PSE?
Banyak perusahaan menganggap proses telah selesai begitu selesai mendaftar PSE. Padahal ada beberapa hal teknis yang wajib dijaga dan diperbarui setelah terdaftar.
1. Melaporkan setiap perubahan yang terjadi
Seiring pertumbuhan bisnis, wajar jika terjadi perubahan pada arsitektur sistem, seperti penambahan fitur baru atau perpindahan lokasi server. Setiap perubahan ini wajib dilaporkan kepada Kementerian Kominfo.
Perusahaan yang telah terdaftar tapi tidak pernah memperbarui informasinya bisa jadi dianggap memberikan data yang tidak akurat dan akan masuk pada kategori pelanggaran.
2. Menyiapkan mekanisme pelaporan konten untuk pengguna
PSE yang memiliki fitur unggah konten oleh pengguna (UCG) wajib menyediakan tombol atau formulir pelaporan konten yang bisa digunakan siapa saja. Setiap laporan yang masuk juga harus diproses dan ditindaklanjuti oleh tim perusahaan, dan seluruh riwayat penanganannya harus tersimpan.
Regulator bisa meminta laporan ini sebagai bukti bahwa perusahaan benar-benar menjalankan kewajibannya.
3. Menjalankan uji kelaikan sistem secara berkala
Perusahaan Anda wajib memastikan bahwa sistem elektronik telah beroperasi secara andal dan aman. Caranya dengan melakukan pengujian secara rutin, lalu mendokumentasikan hasilnya. Jika ada temuan, maka harus segera ditindaklanjuti.
Tanpa adanya rekam jejak pengujian yang jelas, perusahaan akan kesulitan membuktikan kepatuhannya kepada regulator.
4. Menjaga kesiapan audit trail dan logging aktivitas sistem
Aparat penegak hukum bisa meminta akses data kepada PSE kapan saja sesuai prosedur yang berlaku. Perusahaan yang tidak memiliki sistem pencatatan aktivitas atau logging yang berjalan dengan baik akan kesulitan memenuhi permintaan tersebut tepat waktu.
Memastikan Keamanan PSE dengan Sertifikasi ISO 27001
Seluruh kewajiban teknis yang diatur dalam PM Kominfo 5/2020 bermuara pada satu kebutuhan mendasar yaitu sistem manajemen keamanan informasi yang terstruktur dan dapat dibuktikan kepada regulator.
ISO/IEC 27001 adalah standar internasional yang dirancang untuk menjawab kebutuhan tersebut. Standar ini menyediakan kerangka kerja yang sistematis untuk mengelola keamanan informasi di seluruh aspek operasional perusahaan.
Beberapa kontrol yang ada di dalamnya secara langsung relevan dengan kewajiban PSE, di antaranya kontrol akses data, manajemen insiden, pencatatan aktivitas sistem, dan keberlangsungan operasional.
Lebih dari itu, sertifikasi ISO 27001 memberikan bukti yang dapat diverifikasi oleh pihak ketiga bahwa sistem keamanan informasi perusahaan sudah memenuhi standar yang diakui secara internasional.
Jika perusahaan Anda ingin memastikan kesiapan sistem secara menyeluruh, baik untuk memenuhi kewajiban PM Kominfo 5/2020 maupun membangun sistem keamanan yang lebih kuat, tim kami siap membantu melalui layanan pendampingan sertifikasi ISO 27001.
